基于异常流量检测的网络安全态势感知方法及设备的制作技术
本技术公开了一种基于异常流量检测的网络安全态势感知方法及装置,方法包括:对网络异常流量进行分类,得到异常流量分类结果;基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果;基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果。本技术解决了网络服务运营者网络系统流量无法可知可控的问题,能够通过异常流量分类,找到威胁的来源以及类型,能够确定威胁的危害程度,并通过定量方法预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
权利要求书
1.一种基于异常流量检测的网络安全态势感知方法,其特征在于,包括:
使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分类,得到异常流量分类结果;
基于所述异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果,其中,具体评估步骤如下:
基于统计分析方法计算各类异常流量危害程度,评估网络安全态势,以及
基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
基于所述网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果,其中,具体预测步骤如下:
基于预测方法和历史网络安全态势数据,预测未来的网络安全态势,以及
基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
2.根据权利要求1所述的方法,其特征在于,所述对网络异常流量进行分类,得到异常流量分类结果,包括:
选择流量数据包的属性特征;
采集流量数据包的属性特征;
依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
使用k均值聚类算法将异常流量划分成簇;
针对每一个簇,使用C4.5决策树算法进行分类;
将所有簇中相同的类合并为一类,得到异常流量分类结果。
3.一种基于异常流量检测的网络安全态势感知装置,其特征在于,包括:
网络异常流量分类模块,用于使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分类,得到异常流量分类结果;
评估模块,用于基于所述异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果,其中,所述评估模块包括:网络安全态势评估单元,用于基于统计分析方法计算各类异常流量危害程度,评估网络安全态势,以及漏洞利用概率分析单元,用于基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
预测模块,用于基于所述网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果,其中,所述预测模块包括:网络安全态势预测单元,用于基于预测方法和历史网络安全态势数据,预测未来的网络安全态势,以及漏洞利用概率预测单元,用于基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
4.根据权利要求3所述的装置,其特征在于,所述网络异常流量分类模块包括:
选择单元,用于选择流量数据包的属性特征;
采集单元,用于采集流量数据包的属性特征;
判定单元,用于依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
聚类单元,用于使用k均值聚类算法将异常流量划分成簇;
分类单元,用于针对每一个簇,使用C4.5决策树算法进行分类;
合并单元,用于将所有簇中相同的类合并为一类,得到异常流量分类结果。
技术说明书
一种基于异常流量检测的网络安全态势感知方法及装置
技术领域
本技术涉及网络安全技术领域,尤其涉及一种基于异常流量检测的网络安全态势感知方法及
装置。
背景技术
随着互联网的快速发展,电子政务、电子商务、电子金融等网络服务越来越流行,用户的生活、工作和学习逐渐由现实世界转移到互联网中来,人们对互联网的依赖正在日益增加。然而,互联网的开放性特点使得任何符合其技术标准的设备或软件都可以不受限制地接入互联网,导致互联网各类安全事件层出不穷,网络安全形势变得日益严峻。
网络异常流量对企业的网络服务影响十分严重,网络设备故障、内网用户有意无意的非法操作以及病毒爆发都能导致网络瘫痪、业务中断;黑客攻击等会导致核心数据泄露或被毁坏,对企业经济造成巨额损失;业务停顿、数据外泄必然会导致公司声誉受损,伤害影响深远。当面临各种网络安全威胁时,发现和判断异常流量的效率将是有决定性意义的。目前机器学习技术已应用于异常流量检测,建立了相应的理论体系,取得了一些研究成果,但在通用性、检测范围、对实际工作的指导方面仍存在很大不足。
因此,如何更加有效全面的通过异常流量检测对网络安全态势进行感知,是一项亟待解
决的问题。
技术内容
有鉴于此,本技术提供了一种基于异常流量检测的网络安全态势感知方法,解决了网络服务运营者网络系统流量无法可知可控的问题,能够通过异常流量分类,找到威胁的来源以及类型,能够确定威胁的危害程度,并通过定量方法预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
本技术提供了一种基于异常流量检测的网络安全态势感知方法,包括:
使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分类,得到异常流量分类结果;基于所述异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果,其中,
具体评估步骤如下:
基于统计分析方法计算各类异常流量危害程度,评估网络安全态势,以及
基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
基于所述网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果,其中,具体预测步骤如下:
基于预测方法和历史网络安全态势数据,预测未来的网络安全态势,以及
基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
优选地,所述对网络异常流量进行分类,得到异常流量分类结果,包括:
选择流量数据包的属性特征;
采集流量数据包的属性特征;
依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
使用k均值聚类算法将异常流量划分成簇;
针对每一个簇,使用C4.5决策树算法进行分类;
将所有簇中相同的类合并为一类,得到异常流量分类结果。
一种基于异常流量检测的网络安全态势感知装置,包括:
网络异常流量分类模块,用于使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分
类,得到异常流量分类结果;
评估模块,用于基于所述异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果,其中,所述评估模块包括:网络安全态势评估单元,用于基于统计分析方法计算各类异常流量危害程度,评估网络安全态势,以及漏洞利用概率分析单元,用于基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
预测模块,用于基于所述网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果,其中,所述预测模块包括:网络安全态势预测单元,用于基于预测方法和历史网络安全态势数据,预测未来的网络安全态势,以及漏洞利用概率预测单元,用于基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
优选地,所述网络异常流量分类模块包括:
选择单元,用于选择流量数据包的属性特征;
采集单元,用于采集流量数据包的属性特征;
判定单元,用于依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
聚类单元,用于使用k均值聚类算法将异常流量划分成簇;
分类单元,用于针对每一个簇,使用C4.5决策树算法进行分类;
合并单元,用于将所有簇中相同的类合并为一类,得到异常流量分类结果。
综上所述,本技术公开了一种基于异常流量检测的网络安全态势感知方法,当需要对网络安全态势进行感知时,首先使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分类,得到异常流量分类结果;然后基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果,其中,具体评估步骤如下:基于统计分析方法计算各类异常流量危害程
度,评估网络安全态势,以及基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;然后,基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果,其中,具体预测步骤如下:基于预测方法和历史网络安全态势数据,预测未来的网络安全态势,以及基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。本技术解决了网络服务运营者网络系统流量无法可知可控的问题,能够通过异常流量分类,找到威胁的来源以及类型,能够确定威胁的危害程度,并通过定量方法预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
附图说明
为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本技术公开的一种基于异常流量检测的网络安全态势感知方法实施例1的方法流程图;图2为本技术公开的一种基于异常流量检测的网络安全态势感知方法实施例2的方法流程图;图3为本技术公开的一种基于异常流量检测的网络安全态势感知装置实施例1的结构示意图;图4为本技术公开的一种基于异常流量检测的网络安全态势感知装置实施例2的结构示意图。具体实施方式
下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本技术一部分实施例,而不是全部的实施例。基于本技术
中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本技术保护的范围。
如图1所示,为本技术公开的一种基于异常流量检测的网络安全态势感知方法实施例1的方法
流程图,所述方法可以包括以下步骤:
S101、对网络异常流量进行分类,得到异常流量分类结果;
当需要对网络安全态势进行感知时,首先基于流量统计特征分析识别网络正常流量和异常流量,并基于机器学习分类算法将异常流量细分为不同的类,包括网络设备故障、内网用户非法操作、恶意下载、信息炸弹、网络扫描、拒绝服务攻击(DoS攻击)、分布式拒绝服务攻击(DDoS攻击)、网络蠕虫病毒等。
S102、基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果;
然后,基于网络异常流量分类结果对各类异常流量数据包的个数进行统计,计算当前各类异常流量出现的可能性;以及深入分析针对设备漏洞类攻击流量,统计各漏洞被利用次数,计算当前各漏洞被利用的概率。
S103、基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果。
然后,基于历史网络安全态势数据,通过预测算法计算未来一段时间各类异常流量出现的可能性;以及基于历史漏洞利用概率数据,通过预测算法计算未来一段时间各漏洞被利用的概率。
综上所述,在上述实施例中,当需要对网络安全态势进行感知时,首先对网络异常流量进行分类,得到异常流量分类结果;然后基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果;基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果。本技术解决了网络服务运营者网络系统流量无法可知可控的问题,能够通过异常流量分类,找到威胁的来源以及类型,能够确定威胁的危害程度,并通过定量方法预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
如图2所示,为本技术公开的一种基于异常流量检测的网络安全态势感知方法实施例1的方法流程图,所述方法可以包括以下步骤:
S201、选择流量数据包的属性特征;
当需要对网络安全态势进行感知时,首先对流量数据包的属性特征进行选择;例如,选择源IP地址、目的IP地址、源端口号、目的端口号、协议号等5个属性。
S202、采集流量数据包的属性特征;
然后,对流量数据包的属性特征进行采集。
S203、依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
在采集到流量数据包的属性特征后,进一步根据源IP地址对流量数据包的个数进行统计,并根据统计得到的流量数据包的个数判断数量是否超过阈值,当个数超过阈值时,将对应的IP 地址对应的流量数据包确定为异常流量。需要说明的是,所述阈值可以根据实际需求预先进行灵活的设定。
S204、使用k均值聚类算法将异常流量划分成簇;
然后,使用k均值聚类算法对异常流量进行划分,将将异常流量划分成簇。
S205、针对每一个簇,使用C4.5决策树算法进行分类;
然后,将异常流量划分得到的每一个簇,采用C4.5决策树算法进行分类。
S206、将所有簇中相同的类合并为一类,得到异常流量分类结果;
S207、基于统计分析方法计算各类异常流量危害程度,评估网络安全态势;
在得到异常流量的分类结果后,进一步给定态势分析的时间区间长度T,针对T时间段
内的所有异常流量做如下分析:
第1步:通过异常流量分类方法完成分类,假设有n个类;
第2步:统计每个类的异常流量数据包的个数,记为,,则当前网络安全态势可以描述为向量P:
,其中,,,表示每类异常流量出现的概率,值越大威胁也越大,是重点防御方向。
S208、基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
同时,在得到异常流量的分类结果后,进一步给定态势分析的时间区间长度T,针对T时间段内的所有异常流量做如下分析:
第1步:利用漏洞扫描工具扫描自身网络系统中存在的漏洞并编号,假设总共有m个漏洞;
第2步:分析每一个异常流量数据包攻击的漏洞对象,并统计每个漏洞被利用的总次数,记为,,则当前漏洞利用概率可以描述为:
,其中,,,表示每个漏洞被利用的可能性大小,可能性越大,越需要重点防御。
S209、基于预测方法和历史网络安全态势数据,预测未来的网络安全态势;
然后,进一步给定态势分析的时间区间长度T,以及此前最近的L个阶段中每个异常流量类在每个阶段的数据包的个数,记为,,对于下一个区间T的态势预测方法如下:
第1步:利用移动平均法预测下一个区间T每个异常流量类的数据包个数如下:
,;
第2步:预测下一个区间的网络安全态势如下:
,其中,,表示下一个时间区间每类异常流量出现的概率,值越大威胁也越大,是下一个阶段的重点防御方向。
S210、基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
进一步,给定态势分析的时间区间长度T,以及此前最近的L个阶段中每个漏洞被利用的次数,记为,,对于下一个区间T的漏洞利用概率预测如下:
第1步:利用移动平均法预测下一个区间T每个异常流量类的数据包个数如下:
,;
第2步:预测下一个区间的漏洞利用概率为:
,其中,,,表示下一个时间区间每个漏洞被利用的可能性大小,值越大,下一个区间越需要重点防御。
综上所述,本技术针对网络系统流量开展异常流量检测,通过基于机器学习的异常流量分类方法,实现了异常流量精细化分析,提出了网络安全态势统计分析方法,实现了定量描述特定时间区间的网络安全态势情况,并且提出了一种量化漏洞利用可能性的统计方法,以及提出了一种态势预测方法,根据历史和当前的态势情况,预测未来的态势趋势。解决了网络服务运营者网络系统流量无法可知可控的问题,通过异常流量分类,实现了找到威胁的来源以及类型,确定威胁的危害程度,并通过定量方法实现了预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
如图3所示,为本技术公开的一种基于异常流量检测的网络安全态势感知装置实施例1的结构示意图,所述装置可以包括:
网络异常流量分类模块301,用于对网络异常流量进行分类,得到异常流量分类结果;
当需要对网络安全态势进行感知时,首先基于流量统计特征分析识别网络正常流量和异常流量,并基于机器学习分类算法将异常流量细分为不同的类,包括网络设备故障、内网用户非法操作、恶意下载、信息炸弹、网络扫描、拒绝服务攻击(DoS攻击)、分布式拒绝服务攻击(DDoS攻击)、网络蠕虫病毒等。
评估模块302,用于基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果;
然后,基于网络异常流量分类结果对各类异常流量数据包的个数进行统计,计算当前各类异常流量出现的可能性;以及深入分析针对设备漏洞类攻击流量,统计各漏洞被利用次数,计算当前各漏洞被利用的概率。
预测模块303,用于基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果。
然后,基于历史网络安全态势数据,通过预测算法计算未来一段时间各类异常流量出现的可能性;以及基于历史漏洞利用概率数据,通过预测算法计算未来一段时间各漏洞被利用的概率。
综上所述,在上述实施例中,当需要对网络安全态势进行感知时,首先对网络异常流量进行分类,得到异常流量分类结果;然后基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果;基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果。本技术解决了网络服务运营者网络系统流量无法可知可控的问题,能够通过异常流量分类,找到威胁的来源以及类型,能够确定威胁的危害程度,并通过定量方法预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
如图4所示,为本技术公开的一种基于异常流量检测的网络安全态势感知装置实施例2的结构示意图,所述装置可以包括:
选择单元401,用于选择流量数据包的属性特征;
当需要对网络安全态势进行感知时,首先对流量数据包的属性特征进行选择;例如,选择源IP地址、目的IP地址、源端口号、目的端口号、协议号等5个属性。
采集单元402,用于采集流量数据包的属性特征;
然后,对流量数据包的属性特征进行采集。
判定单元403,用于依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
在采集到流量数据包的属性特征后,进一步根据源IP地址对流量数据包的个数进行统计,并根据统计得到的流量数据包的个数判断数量是否超过阈值,当个数超过阈值时,将对应的IP 地址对应的流量数据包确定为异常流量。需要说明的是,所述阈值可以根据实际需求预先进行灵活的设定。
聚类单元404,用于使用k均值聚类算法将异常流量划分成簇;
然后,使用k均值聚类算法对异常流量进行划分,将将异常流量划分成簇。
分类单元405,用于针对每一个簇,使用C4.5决策树算法进行分类;
然后,将异常流量划分得到的每一个簇,采用C4.5决策树算法进行分类。
合并单元406,用于将所有簇中相同的类合并为一类,得到异常流量分类结果;
网络安全态势评估单元407,用于基于统计分析方法计算各类异常流量危害程度,评估网络安全态势;
在得到异常流量的分类结果后,进一步给定态势分析的时间区间长度T,针对T时间段
内的所有异常流量做如下分析:
第1步:通过异常流量分类方法完成分类,假设有n个类;
第2步:统计每个类的异常流量数据包的个数,记为,,则当前网络安全态势可以描述为向量P:
,其中,,,表示每类异常流量出现的概率,值越大威胁也越大,是重点防御方向。
漏洞利用概率分析单元408,用于基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
同时,在得到异常流量的分类结果后,进一步给定态势分析的时间区间长度T,针对T时间段内的所有异常流量做如下分析:
第1步:利用漏洞扫描工具扫描自身网络系统中存在的漏洞并编号,假设总共有m个漏洞;
第2步:分析每一个异常流量数据包攻击的漏洞对象,并统计每个漏洞被利用的总次数,记为,,则当前漏洞利用概率可以描述为:
,其中,,,表示每个漏洞被利用的可能性大小,可能性越大,越需要重点防御。
网络安全态势预测单元409,用于基于预测方法和历史网络安全态势数据,预测未来的网络安全态势;
然后,进一步给定态势分析的时间区间长度T,以及此前最近的L个阶段中每个异常流量类在每个阶段的数据包的个数,记为,,对于下一个区间T的态势预测方法如下:
第1步:利用移动平均法预测下一个区间T每个异常流量类的数据包个数如下:
,;
第2步:预测下一个区间的网络安全态势如下:
,其中,,表示下一个时间区间每类异常流量出现的概率,值越大威胁也越大,是下一个阶段的重点防御方向。
漏洞利用概率预测单元410,用于基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
进一步,给定态势分析的时间区间长度T,以及此前最近的L个阶段中每个漏洞被利用的次数,记为,,对于下一个区间T的漏洞利用概率预测如下:
第1步:利用移动平均法预测下一个区间T每个异常流量类的数据包个数如下:
,;
第2步:预测下一个区间的漏洞利用概率为:
,其中,,,表示下一个时间区间每个漏洞被利用的可能性大小,值越大,下一个区间越需要重点防御。
综上所述,本技术针对网络系统流量开展异常流量检测,通过基于机器学习的异常流量分类方法,实现了异常流量精细化分析,提出了网络安全态势统计分析方法,实现了定量描述特定时间区间的网络安全态势情况,并且提出了一种量化漏洞利用可能性的统计方法,以及提出了一种态势预测方法,根据历史和当前的态势情况,预测未来的态势趋势。解决了网络服务运营者网络系统流量无法可知可控的问题,通过异常流量分类,实现了找到威胁的来源以及类型,确定威胁的危害程度,并通过定量方法实现了预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本技术的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本技术。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下,在其它实施例中实现。因此,本技术将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
网络安全态势感知系统简述
网络安全态势感知系统简述 网络安全态势感知系统简述,网络通讯及安全, 陈柳巍,赵蕾,陈瑛琦约2758字 摘要:任务关键网络系统作为一类特殊的网络信息系统在影响人民生活和社会 发展的诸 多领域得到了广泛应用。然而,不断恶化的网络环境使得该类系统面临的安全 问题日益突出, 在依靠传统网络安全技术无法满足人们对其安全需求的背景下,网络安全态势 感知研究便应 运而生。综述了网络安全态势感知系统的国内外研究现状;介绍了Netflow基 本原理。 关键词:网络安全;态势感知;态势评估 中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)13-3333-01 Outline of Network Security Situation System CHEN Liu-wei, ZHAO Lei, CHEN Ying-qi (Computer Office, Aviation University of Air Force, Changchun 130022, China) Abstract: Mission-critical network system(MCNS), as a special kind of network information system, has been widely applied in many fields that affect people's lives and social development. However, network environment worsening makes security problems facing by the system become more and more obvious. Under the circumstances that traditional network security technologies can not satisfy people's security
网络空间安全态势感知与大数据分析平台建设方案V1.0
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。
大规模网络安全态势感知——需求、挑战与技术
大规模网络安全态势感知 —需求、挑战与技术
贾焰 教授 国防科大计算机学院网络所 2009年10月22日
报告内容
什么是态势感知? ? 网络安全态势感知研究意义 ? 网络安全态势感知关键技术 ? YH-SAS
?
一个新型的网络安全态势感知系统
?
机遇和挑战
态势感知定义
?
wikipedia
?
Situation awareness, or SA, is the perception of environmental elements within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future.
态势感知就是在一定的时空条件下,对环境因
素进行获取、理解以及对其未来状态进行预 测。
态势要素获取 (一级) 态势理解 (二级) 态势预测 (三级)
态势感知定义(续)
?
Adam, 1993
SA
is simply “knowing what is going on so you can figure out what to do”。
态势感知可简单理解为“了解将要发生的事以便
做好准备”。
?
Moray, 2005
SA
is a shorthand description for “keeping track of what is going on around you in a complex, dynamic environment” 。
态势感知可简单描述为“始终掌握你周边复杂、
动态环境的变化”。
网络空间安全态势感知与大数据分析平台建设方案V1.0
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及 大数据 智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的 运营支持服务。 1.1 网络空间 态势感知系统 系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块 和通报 预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功 能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能 力,统 筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高 效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理, 定期组织攻防演练。 1.1.1 安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客 组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息 系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处 置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是网站云监测,发现网站可用性的监测、网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前 360 补天漏洞众测平台注册有 多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、 IDC 机房流量等流量采集上来后进行检测,发现 webshell 等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端 IOC 威胁情报进行比对,发现 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比 对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘 分析和关联,发现更深层次的安全威胁 1、网站安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术, 实现对重点网站安全性与可用性的监测,及时发现网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、众测漏洞和访问异常等安全事件。 4万 APT
网络空间安全系统态势感知与大大数据分析报告平台建设方案设计V1.0
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力:
一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。 1、安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点安全性与可用性的监测,及时发现漏洞、挂马、篡改(黑链/暗链)、钓鱼、众测漏洞和访问异常等安全事件。 2、DDOS攻击数据监测:在云端实现对DDoS攻击的监测与发现,对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同时将分析结果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省的流量监控资源,可以快速获取互联网上DDoS攻击的异常流量信息,
网络安全态势的预测网络安全态势感知
网络安全态势的预测网络安全态势感知 :TP3 :A 摘要:网络安全态势感知的基本目标是网络安全预测。本文重点论述了网络安全态势常用的三种方法并对其应用实现进行了分析和展望。关键词:网络安全态势预测;神经智能网络;时间序列;支持向量机 Abstract:Network security situation forecast situation awareness is one of the basic goals. This paper mainly discusses the work security situation monly used three methods and its application in the trend of the development of realization are analyzed and prospected. Key words:Network security situation forecast ;Nerve intelligent work ;Time series ;Support vector machine (SVM) 1 引言 根据网络安全态势的以往的信息和目前状况情态可以对网络未 来一个阶段的发展趋势进行预测,这就是网络安全态势的预测。由于网络攻击的随机性和不确定性,这就使得安全态势变化是一个复杂的非线性过程,常规传统的预测模型较有局限性。目前网络安全态势预测通常采用神经智能网络、时间序列预测法和支持向量机等方法。
2 网络安全态势的预测 目前神经智能网络是最常用的网络态势预测方法,该算法是先 输入一些数据作为训练样本,然后根据网络能力调整权值,建立网络态势预测模型,而后运用模型,实现从输入状态到输出状态空间的映射,该映射为非线性映射。 神经智能网络具有很多优点,其中自学习、自适应性和非线性 处理尤为突出。网络之所以具有良好的容错性和稳健性,是因为神经网络内部神经元之间存在复杂的连接,连接权值的矩阵具有可变性,这使得模型运算中存在高度的冗余。但是神经智能网络存在许多缺陷:如过分拟合或者训练不够,训练时间短,可信的解释难以提供。 时间序列法是对时间序列的以往数据研究找出随着时间的变化 态势发展的规律,并利用这种规律推断未来,从而预测未来态势。在预测网络安全态势中,建立函数y=f(t),y即网络安全态势值,该值是有态势评估获取而来的,此态势值是非线性的。预测出的网络安全态势值通常被看作一个时间序列,设定y={yi|yi∈r,i=1,2,…,l}为网络安全态势值的时间序列,然后通过序列的前n个时刻的态势 值预测出后m个网络安全态势的值。
基于可视化的安全态势感知
基于可视化的安全态势感知 -世博会业务系统的信息保障 郁郎 关键词:网络安全;信息保障;安全态势;安全可视化;业务影响度 1.引言 被誉为“经济、科技、文化”奥林匹克的世界博览会,将于2010年在中国上海举办,作为信息时代下的一届世博会,上海世博会的参展服务、票务销售、特许经营、人流疏导、运营管理等一系列重要的工作都是通过网络信息平台展开的。与此同时,上海世博会还在世博会历史上首次尝试“网上世博会”项目。可见,信息系统是上海世博会筹办工作的中枢神经,信息安全对于世博会的成功举办具有至关重要的意义。由于空前的规模,世博信息安全是一项复杂工程,涉及面相当广泛,从基建设施,例如网络设备、主机、安全设备;到数据库、操作系统、中间件;再到上层的业务系统、应用软件等不一而足。如何对如此大规模的异构IT计算环境进行集中统一的运行监控和安全态势分析便成为了世博信息安全运维管理工作中的一大难点。 在经典的IATF纵深防御理论中,针对类似于世博会这样大规模信息系统的运营,提出了“信息保障”[1]的概念,并在其技术框架中给出了人(People)、技术(Technology)、操作(Operation)三方面并举的深度防御安全模型。人作为信息安全环节中不可缺少的一环,如何有效对安全系统进行操控,如何依据系统提供的信息做出正确的决策?都是我们在保障信息安全时所面临的严峻挑战。 为世博会的安全运营设计一个系统能够采集、分析、管理、展现大规模原始数据集,其目标在于解决目前安全系统的普遍存在的一个通病-对安全状态“看不见、看不懂、看不透!”,有效提升人对目前安全态势(security situation)的感知能力,对潜在的安全威胁做出预警,从而让人做出正确的决策。 本文将以世博会信息化网络安全管理对安全可视化的实际需求为切入点,分析基于“ 业务影响程度”(mission impact)的安全态势评估方法,阐述如何以保障和促进世博各项业务系统的运转为目标,使用可视化技术完成基于“业务影响程度”的安全态势感知。 2.什么是安全态势感知(Security Awareness)? “一幅好图胜过千言万语!”这句话体现了安全态势感知的关键-可视化,一定是通过图形的方法把安全数据展示给人,人相对于计算机系统而言其优势在于无可比拟的逻辑对比分析能力,计算机处理十万条安全事件的速度远比人快上千倍万倍,但从一幅图中发现其变化的趋势以及深层次的原因,人们的直觉却强大的多,这种客观的直觉我们称之为“态势感知”,通过计算机数据能力,再采用不同的算法把安全数据图形化我们称之为“安全可视化”。 安全态势感知本身一个系统工程,原始数据经过许多流程最终通过视觉在人脑中形成对全网安全状态的宏观认识。作为信息融合的过程,安全态势感知是一个从底层数据到抽象信息,到获取高层知识的过程。
【安全】信息安全态势感知平台技术白皮书
【关键字】安全 信息安全态势感知平台 技术白皮书 注意 本文档以及所含信息仅用于为最终用户提供信息,成都思维世纪科技有限责任公司(以下简称“思维世纪”)有权更改或撤销其内容。 未经思维世纪的事先书面许可,不得复印、翻译、复制、泄漏或转录本文档的全部或部分内容。 本文档以及本文档所提及的任何产品的使用均受到最终用户许可协议限制。 本文档由思维世纪制作。思维世纪保留所有权利。
目录 1.综述....................................................................... 错误!未定义书签。 1.1.项目背景.......................................................................... 错误!未定义书签。 1.2.管理现状.......................................................................... 错误!未定义书签。 1.3.需求描述.......................................................................... 错误!未定义书签。 2.建设目标............................................................... 错误!未定义书签。 3.整体解决方案 ...................................................... 错误!未定义书签。 3.1.解决思路.......................................................................... 错误!未定义书签。 3.2.平台框架 ........................................................................ 错误!未定义书签。 动态掌握全网风险状态 ................................... 错误!未定义书签。 实时感知未来风险趋势 ................................... 错误!未定义书签。 安全管理提供数据支撑 ................................... 错误!未定义书签。 决策执行效果进行评价 ................................... 错误!未定义书签。 4.平台功能介绍 ...................................................... 错误!未定义书签。 4.1.全网安全风险实时监测.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.2.业务系统安全风险管理.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.3.内容安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.4.数据安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.5.重大安全事件态势分析.................................................. 错误!未定义书签。
安全态势感知平台
点击文章中飘蓝词可直接进入官网查看 安全态势感知平台 安全态势感知平台通过收集各类安全日志,实时监控网络流量,利用大数据实时分析,采 取主动的安全分析和实时态势感知,快速发现威胁,控制威胁。今天给大家谈一谈一下安全态 势感知平台的特点,并介绍一下安全态势感知平台哪家比较好。 事件收集,安全态势感知平台提供主动获取和被动接收多种事件获取方式,可收集所有类 型的事件信息。利用模式匹配进行数据解析,可解析所有格式的事件与日志,事件解析过程中,对解析规则进行智能学习,自动进行规则分类,可实现快速解析。正则表达式可灵活配置,灵 活接入新的事件与日志信息,产品可自由扩容,具备灵活的事件合并策略及强大的事件合并能力。 流量监控,安全态势感知平台流量监控实时监控网络流入流出的网络流量,通过对流量进 行协议识别和深度包检测,并对数据包进行还原与重组,提取数据流量中的内容,并对内容进 行检测,通过对检测结果的分析,发现数据流量中的异常行为,携带的病毒、木马以及恶意软件,隐藏的泄密行为等。 事件分析,安全态势感知平台基于僵尸网络活动模式的僵尸网络检测、多维交叉关联的网 络安全事件分析挖掘、基于协作的慢速DDoS检测、基于推理空间划分的大规模并行推理引擎、多种预测方式有机结合的网络安全态势预测、基于特征事件序列频繁情节的预测技术、基于高容错、自适应神经网络的预测技术。通过大数据实时、多维度关联分析,挖掘真正的威胁,利 用数据挖掘与机器学习提升网络安全态势预测能力。产品内置丰富的关联分析规则,并提供灵活的规则配置界面,可根据需要自由配置,关联分析引擎可自由扩展,通过调度中心灵活控制,产品具有自由的扩容能力与强大的分析能力。 告警分析与处理,安全态势感知平台告警分析对关联分析结果进行深入分析,结合漏洞信息、资产信息、告警策略信息等,分析告警事件与资产之间的关联关系,告警事件与漏洞之间 的关联关系,利用网络安全指标体系计算网络风险值,发现高风险事件,高风险资产,并对整 体威胁告警情况进行自动调整。针对分析发现的可疑威胁源与高风险事件,进行持续跟踪分析,
大数据环境下网络安全态势感知研究
□ 曹蓉蓉 / 南京政治学院上海校区军事信息管理系 上海 200433 大数据环境下网络安全态势感知研究 摘要:随着网络规模和应用的迅速扩大,网络安全威胁不断增加,单一的网络安全防护技术已经不能满足需要。网络安全态势感知能够从整体上动态反映网络安全状况并对网络安全的发展趋势进行预测,大数据的特点为大规模网络安全态势感知研究的突破创造了机遇。文章在介绍网络安全态势相关概念和技术的基础上,对利用大数据开展基于多源日志的网络安全态势感知研究进行了探讨。 关键词:网络安全,态势感知,大数据,数据融合,态势预测 DOI:10.3772/j.issn.1673—2286.2014.02.003 1 引言 随着计算机和通信技术的迅速发展,计算机网络的应用越来越广泛,其规模越来越庞大,多层面的网络安全威胁和安全风险也在不断增加,网络病毒、Dos/ DDos攻击等构成的威胁和损失越来越大,网络攻击行为向着分布化、规模化、复杂化等趋势发展,仅仅依靠防火墙、入侵检测、防病毒、访问控制等单一的网络安全防护技术,已不能满足网络安全的需求,迫切需要新的技术,及时发现网络中的异常事件,实时掌握网络安全状况,将之前很多时候亡羊补牢的事中、事后处理,转向事前自动评估预测,降低网络安全风险,提高网络安全防护能力。 网络安全态势感知技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对网络安全的发展趋势进行预测和预警。大数据技术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态势感知技术的突破创造了机遇,借助大数据分析,对成千上万的网络日志等信息进行自动分析处理与深度挖掘,对网络的安全状态进行分析评价,感知网络中的异常事件与整体安全态势。 2 网络安全态势相关概念 2.1 网络态势感知 态势感知(Situation Awareness,SA)的概念是1988年Endsley提出的,态势感知是在一定时间和空间内对环境因素的获取,理解和对未来短期的预测。整个态势感知过程可由图1所示的三级模型直观地表示出来。 图1 态势感知的三级模型 态势理解 (二级) 态势预测 (三级)态势要素获取 (一级) 所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。 网络态势感知(Cyberspace Situation Awareness,CSA)是1999年Tim Bass首次提出的,网络态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。 态势是一种状态、一种趋势,是整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性,环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋 2014年第02期(总第117期)11
网络安全态势感知技术发展
作者版权所有 请勿转载
网络安全态势感知技术发展及在运营商网络的应用思考 刘东鑫 中国电信网络与信息安全研究院安全研究员 作者版权所有 请勿转载
目录 ?网络安全态势感知的背景及目标 ?网络安全态势感知的关键技术 ?在运营商网络的应用思考作者版权所有 请勿转载
网络与信息安全的外部形势变化 近年来,国内外网络与信息安全事件频发,威胁和风险环境已经发生了显著的变化,新的安全漏洞和网络攻击方式不断涌现,对安全防护提出更高要求。 ?黑产链条发展迅猛,外部攻击手法不断升级:漏洞及相关利用工具、敏感数据等黑产交易日益“繁荣”;DDOS攻击、APT攻击、拖库、撞库等手法花式翻新; ?资产规模及种类日趋庞大,安全管理难度加大:操作系统和第三方通用软硬件的高危漏洞频发、内部资产不清晰造成的防护遗漏、内部员工的账号泄露和非法操作等; ?网络与信息安全的内涵在不断扩充,价值不断提升:以账号安全、交易欺诈、信用欺诈和支付欺诈为代表的风控和反欺诈相关工作被纳 入企业整体的网络与信息安全防护体系。 ?以0day漏洞入侵员工电脑或手机 ,再向企业内网渗透 ?“内外”威胁的边界变得模糊 ?攻击趋利目的明显,业务漏洞利用 “巧妙” ?业务逻辑漏洞、帐号管控风险变大?全球Mirai僵尸肉鸡超过百万, “小试牛刀”就让互联网瘫痪 ?对IoT设备的安全管理仍在探索 作者版权所有 请勿转载
网络安全态势感知的定义及目标 目前,业界普遍接受“网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势 ,并以可视化方式展现给用户,并给出响应的报表和应对措施”的论述,但是尚未有统一的定义。经过多年的市场探索,态势感知系统通常作为安全运营体系的技术平台,旨在实现“安全能力集成、数据智能分析、安全威胁感知、应急协同处置、运营可视化”等多个目标。 近年来,国内业界厂商、大型客 户对“安全态势感知系统”的定位逐步趋同: 构建安全防护的“大脑”, 更好地加强纵深防 御,建设主动防御、持续 检测、应急响应、溯源取证、风险预警等安全能力,最终实现安全运营的闭 环管理。 基于数据融合的网络态势感知功能模型 ? 1999年,Tim Bass 提出:下一代NIDS 应该融合大量异构数据源,实现网络空间的态势感知。 态势感知的三个阶段 ? 在一定的时空条件下,对环境因素进行获取、理解以及对未来状态进行预测。 作者版权所有 请勿转载
360态势感知与安全运营平台
360态势感知与安全运营平台 产品白皮书 █文档编号█密级 █版本编号█日期
目录 1 产品概述 (2) 2 平台介绍 (2) 2.1 产品组成 (2) 2.2 产品架构 (4) 3 技术特点 (6) 3.1 全面的数据采集与分析 (6) 3.2 大数据基础架构 (7) 3.3 高性能关联分析 (7) 3.4 丰富的威胁情报 (9) 3.5 精准的多维度威胁检测 (9) 4 产品功能 (10) 4.1 威胁管理 (10) 4.2 资产管理 (11) 4.3 拓扑管理(收费模块) (11) 4.4 漏洞管理(收费模块) (12) 4.5 日志搜索 (12) 4.6 调查分析(收费模块) (13) 4.7 报表管理 (14) 4.8 仪表展示 (14) 4.9 态势感知(收费模块) (15) 5 服务支持 (16) 5.1 安全规则运营服务 (16) 5.2 全流量威胁分析服务 (16) 6 应用价值 (17) 6.1 安全监控的范围更大 (17) 6.2 威胁发现及时性提升 (17) 6.3 安全管理效率提升 (17) 6.4 降低宏观安全理解成本 (18)
1产品概述 360 态势感知与安全运营平台(以下简称NGSOC,Next Generation Security Operation Center)是360企业安全集团基于大数据架构自主构建的一套面向政企客户的新一代安全管理系统。该系统利用大数据等创新技术手段,结合360的安全能力和传统安全技术积累针对各种网络安全数据进行分析处理,可以为政企客户的安全管理者提供资产、威胁、脆弱性的相关管理,并能提供对威胁的事前预警、事中发现、事后回溯功能,贯穿威胁的整个生命周期管理。 NGSOC产品继承了360企业安全集团下属网神子公司长期以来在SOC产品上的历史经验,同时将来自互联网公司的大数据技术注入到了产品的开发过程中,可以既满足海量日志下的快速计算分析需要,又能够兼顾大量基础管理功能,同时也汲取了国内SOC 经常无人使用的失败经验,有针对性的在产品设计中考虑了更多有关提升使用效率、分析效率的相关实现,并对产品的后续服务提供了一整套相关方案以帮助用户更好的使用NGSOC产品。 NGSOC产品在架构演进以外,也使用了大量新型安全技术,其中威胁情报能够快速的帮助单一企业补足在安全知识上的短板,既可以帮助企业发现威胁,也可以提供更广泛的威胁分析手段和能力。而其他诸如依赖于机器学习的web攻击发现功能等一系列威胁检测手段则能有效增强针对传统安全问题的检测率和准确度。 在架构革新和新技术的推动下,NGSOC产品正在引领国内安全管理产品市场的变革,同时也获得着国内客户的认可。据权威资讯机构赛迪顾问的统计数据,360企业安全的NGSOC产品在2016年中国安全管理平台产品市场中市场占有率第一。 2平台介绍 2.1产品组成 NGSOC产品主要包括流量传感器、日志采集探针、关联规则引擎和分析平台4个硬件组件,同时能够对接360天眼新一代威胁感知系统中的文件威胁鉴定器和360天擎系统的EDR组件,如下图所示:
网络安全态势感知研究现状及分析
网络安全态势感知研究现状及分析 [摘要]网络安全态势感知是网络安全领域的热点课题,开展这项研究,对于提高网络系统的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有重要的意义。本文探讨了研究的现状并分析了其重要性。 [关键词]CBR原理;网络安全态势感知;研究现状 1 CBR原理概述 1.1 简单误报识别 一是利用网络拓扑信息及主机配置信息识别误报。比如:主机安装apache 作为Web服务器针对IIs服务器的unicode攻击报警就可以通过主机配置信息识别为误报。二是基于入侵场景完整性原则识别误报。一般来说,一次成功的黑客入侵是通过多个相关入侵攻击活动组成的。相反,孤立的单一入侵报警则很有可能是误报或是失败的入侵企图。因此,基于此假设,我们可以有效识别部分误报。三是利用漏洞扫描器的检测结果验证入侵报警是否为误报。入侵检测系统(Intrusion Detection System,IDS)是对计算机或计算机网络系统中的攻击行为进行检测的自动系统。实际中运行的IDS均存在着大量的误报警,据统计误报警的数量最高可达99%。误报警产生的原因可以分为两类:第一类是攻击特征描述不完善或者检测系统自身在算法和分析方法等方面存在缺陷;第二类是网络数据包内确实包含攻击特征,但是对于具体的目标或者环境没有作用或不构成威胁,仍被判定为攻击的情况。事实上,由于报警被误判后的代价是不均衡的,即真报警被误判为误报警所付出的代价要比相反的大,因此如何在保证较高的检测率和较低的误报率的前提下降低IDS的误报警已经成为入侵检测领域的研究热点。 1.2 网络安全态势感知的产生 现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于它们彼此间缺乏有效协作,使得各类安全设备的效能无法得到充分发挥,网络系统的安全问题已成为影响Internet和各类应用发展的主要问题。网络安全态势感知(Network Security Situation Awareness,NSSA)在此背景下产生,目的是从总体上把握网络系统运行的安全状况及未来趋势,实时感知目前网络所面临的威胁,为及时、准确的决策提供可靠依据,最终将网络不安全带来的风险和损失降至最低。 目前,对网络安全态势感知的研究主要集中于日志分析、NetFlow、SNMP和面向服务等方面,提出了基于异质多传感器、灰色Verhulst、层次化的网络安全态势感知模型,基于数据融合、粗糙集、博弈理论、支持向量机等理论的网络安全态势感知方法,基于小波分析、神经网络、遗传算法等理论的网络安全态势动态预测方法。上述模型及方法的提出极大推动了网络安全态势感知理论的向前发展,在某些领域已开始应用并取得一定效果。但是,由于上述方法均不能从网络行为的本质把握网络运行规律,使得现有网络安全态势感知系统存在着感知范围窄、
探索网络安全态势感知系统[Word文档]
探索网络安全态势感知系统 本文档格式为WORD,感谢你的阅读。 最新最全的学术论文期刊文献年终总结年终报告工作总结个人总结述职报告实习报告单位总结演讲稿 探索网络安全态势感知系统 1网络安全态势感知系统的模型 网络安全态势感知系统是通过融合防火墙、防毒、杀毒软件、入侵检测系统、安全审计系统等技术组成,是实现网络安全实时监测与及时预警的新型感知技术。网络安全态势感知技术能够对网络的目前的运行安全情况进行实时的监测并做出相应的评估,还能够对网络未来一段时间内的变化趋势进行预测。网络安全态势感知系统主要分为了四个层次,第一个层次为特征提取,这一层次中的主要任务是将大量的数据信息进行整合与精炼并从中提取出网络安全态势信息。第二个层次为安全评估,作为网络安全态势感知系统的核心,这一层次的主要任务是将第一个层次中提取出的网络安全态势信息进行分析,利用入侵检测系统、防火墙等技术对网络信息安全进行评估。第三个层次为态势感知,这一层次是将安全评估的信息与信息源进行识别,确定二者之间的关系并根据威胁程度生成安全态势图,将网络安全的现状与可能的发展趋势直观的体现。第四个层次为预警,是根据安全态势图分析网络安全的发展趋势,对可能存在网络安全隐患的情况做出及时的预警,便于网络安全管理人员的介入并采取有针对性的措施进行处理。根据网络安全态势感知概念模型的四个层次,笔者又试探性的构建了网络安全态势感知系统体系结构模型,从上图中我们可以直观的了解网络安全态势感知系统的体系结构构成,便于相关人员进行分析与研究。 2网络安全态势感知系统关键模块分析 网络安全态势感知概念图中,我们可以发现网络安全态势感知系统主要由四个层次即特征提取、安全评估、态势感知与预警构成。针对这四个层次,下面进行进一步的分析。
网络安全态势感知系统结构研究
网络安全态势感知系统结构研究 Computer Engineering and 2008, 44( 1) Applications 计算机工程与应用 ◎网络、通信与安全◎ 摘要: 网络安全态势感知是实现网络安全监测和预警的一种新技术, 融合 防火墙、防病毒软件、入侵监测系统( IDS) 、安全审计系统等安全措施的数据信息, 对整个网络的当前状况进行评估, 对未来的变化趋势进行预测。深入分 析国内外相关研究后, 建立了一个网络安全态势感知概念模型和体系结构, 分 析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应 急响应、网络安全预警等重要组成部分, 这将为下一步安全态势感知系统的实 现奠定理论的基础。 关键词: 网络态势感知; 安全评估; 安全预警 随着网络规模的不断壮大, 网络结构的日益复杂, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 传统的网络安全管理模式仅仅依靠防火墙、 防病毒、IDS 等单一的网络安全防护技术来实现被动的网络安全管理, 已满足 不了目前网络安全的要求, 因此迫切需要新的技术来对网络安全状况进行实时 监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态 进行定量和定性的评价, 实时监测和预警的一种新的安全技术。 论文研究工作主要是围绕网络安全态势感知系统模型, 分析研究构成网络 安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安 全预警等重要组成部分, 这将为下一步安全态势感知系统的实现奠定了理论的 基础。 1 相关研究工作 网络安全态势感知是应网络安全监控需求而出现的一种新技术, 目前正处 于起步阶段。态势感知源于航天飞行的相关研究, 目前广泛应用于航天飞机、 军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控, 因此迫切需要一项新方法来完成该项任务, 于是提出了网络安全态势感知 系统研究。1999 年, Bass等人首次提出了网络态势感知概念[1], 即网络安全 态势感知, 并将网络态势感知和空中交通监管( ATC) 态势感知进行了类比,旨 在把ATC 态势感知的成熟理论和技术借鉴到网络态势感知中去, 随后提出了基 于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也
2018年安全威胁态势感知平台项目可行性研究报告
2018年安全威胁态势感知平台项目可行性研究 报告 一、项目实施背景介绍 (3) 1、项目概述 (3) 2、安全威胁态势感知平台介绍 (3) 3、整体构架图 (5) 4、平台实现路径 (5) (1)平台框架 (5) (2)基础模块 (7) (3)态势分析组件 (9) 二、项目实施的必要性 (10) 1、加大研发投入,提升公司技术实力,促进公司未来发展 (10) 2、满足市场需求,促使网络威胁可视化 (11) 3、有效增强公司产品竞争力,提升客户体验 (12) 三、项目实施的可行性 (12) 1、领先的研发能力,为本项目的实施奠定了技术基础 (12) 2、已有产品研发为本项目研发提供参考,降低研发难度 (13) 3、快速产业化能力,为项目的实施提供了良好的保障 (14) 四、项目投资概算 (14) 1、设备投资 (15) (1)硬件设备投入 (15) (2)软件投入 (16) 2、基本预备费 (16) 3、研发费用 (16) 4、市场推广费 (16)
5、铺底流动资金 (17) 五、项目建设规模与建设进度计划 (17) 1、建设规模 (17) 2、项目实施进度安排 (17) 3、项目实施的阶段性目标 (18) 六、项目效益测算 (18)
一、项目实施背景介绍 1、项目概述 本项目计划总投资11,536.98万元,通过购进先进软硬件设备,引进研发人员,以大数据分析处理引擎为基础,利用安全威胁分析和建模关键算法、威胁情报关联分析技术、可视化技术等关键技术,开发一个能实现对安全威胁进行智能感知与防控的平台系统。 2、安全威胁态势感知平台介绍 威胁态势感知是近年来在信息安全领域兴起的一个技术方向,其核心理念是构建安全威胁大数据分析平台,通过数学建模与机器学习发现网络中潜在的入侵和攻击等安全威胁,建立针对未知威胁的动态安全监控与防御体系,从而避免因网络攻击导致的企业数据泄露、信息系统被破坏等安全问题。 威胁态势感知可对某个特定范围内的网络、系统、应用、业务等环境因素进行理解及分析,包括两部分内容。 “态”:即为当前的状态。根据已有可掌握的信息,分析出当前网络中的安全威胁现状,包括攻击次数、篡改网站数、攻击流量、攻击目标和攻击源统计等。 “势”:即为未来的发展趋势。根据“态”的分析结果,通过建立精确的模型和算法,预测出未来可能会遭到的攻击,为用户提供未来安全建设的依据。
绿盟关键信息基础设施安全态势感知平台
绿盟关键信息基础设施安全态势感知平台 产品白皮书 【产品管理中心】 ■文档编号■密级完全公开 ■版本编号V1.0 ■日期2019-3-27 ■撰写人■批准人 ? 2019 绿盟科技
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 现状及挑战 (1) 1.1现状 (1) 1.2当前挑战 (1) 二. 平台介绍 (3) 2.1方案概述 (3) 2.2方案内容 (4) 2.2.1 等级保护 (4) 2.2.2 实时监测 (4) 2.2.3 态势感知 (5) 2.2.4 通报预警 (5) 2.2.5 快速处置 (6) 2.2.6 侦查调查 (6) 2.2.7 追踪溯源 (6) 2.2.8 情报信息 (6) 2.2.9 指挥调度 (7) 2.2.10 攻防演习 (7) 三. 方案创新与价值 (8) 3.1安全大数据分析能力 (8) 3.2态势感知能力 (9) 3.3威胁情报关联分析能力 (9) 3.4安全事件追踪溯源能力 (10) 3.5统一威胁探针 (10)
一. 现状及挑战 1.1 现状 随着信息技术不断发展,信息安全给安全监管部门提出新的挑战,勒索病毒会给政府、医疗和教育各领域的业务体系造成巨大打击,影响人民生活的稳定运行;0day漏洞被利用频发,会给信息化时代人们的数据安全造成影响;黑客组织针对机关单位的攻击,在网页上挂上反共标语会对政府的公众形象带来负面影响。所以网络安全问题是和社会、国家和人民群众息息相关的重大问题。 我国目前信息系统安全产业和信息安全法律法规和标准不完善,导致国内信息安全保障工作滞后于信息技术发展。自2016年国家网信办发布《国家网络空间安全战略》以后,国家加强法律法规的建设,也加大了对网络安全的监管和检查力度。 1)2015年刑法修正案明确网络服务供应者的责任和义务。 2)2016年网络安全法明确对关键基础设施单位的建立监测预警与应急处置机制,在监管上采取更主动的方式对互联网威胁和风险进行管控。 3)2017年CII保护条例明确要对基础设施进行定期检查和设置应急响应预案,要求企业采取措施对关键信息基础设施进行风险管理。 4)2018年等保2.0明确云计算、大数据、物联网和移动互联等新技术纳入监管,对安全运营的范围进行补充说明。 5)在监管上,主观机关加大网络安全检查的力度,检查的频率从几年前的两年一检提升到一年多次检查和整改。 在客观上,国家对互联网空间及关键基础设施单位的安全管理的要求从合规及事件管理要求上升的风险管理,需要企业、安全产业乃至整个社会积极响应。在过去,我们关注合规要求和安全事件响应及处置,在未来,我们需要合规和事件管理的基础上做到安全风险治理,做到防患于未然。 1.2 当前挑战 1. 辖区内被监管单位中已经部署了各种不同类型的安全设备、各类设备的安全呈现都 非常分散,缺乏宏观层面的态势把控和整体评估。 2. 网络安全监管与等保备案信息没有充分结合,缺少对关键信息基础设施的精准防护。